Data breach Unicredit, il Garante infligge una sanzione pecuniaria da 600 mila euro
Il Data Breach Unicredit: quali criticità?
Con il recente Provvedimento del 10 giugno 2020, il Garante ha ingiunto all’istituto bancario Unicredit S.p.A. di pagare la somma di 600 mila euro a titolo di sanzione amministrativa pecuniaria per le violazioni verificatesi nel corso del biennio 2016 – 2017.
La società bancaria, in data 25 luglio 2017, aveva comunicato al Garante di aver subito un’intrusione informatica, verificatasi in due momenti distinti in un arco temporale compreso tra aprile 2016 e luglio 2017: tali attacchi, in particolare, sono stati perpetrati attraverso le utenze di alcuni dipendenti di un partner commerciale esterno (la società Penta Finanziamenti Italia S.r.l.); adoperando l’applicativo “Speedy Arena”, hanno così determinato accessi non autorizzati a dati personali riferiti a circa 762.000 interessati.
Nel complesso, all’esito delle risultanze istruttorie compiute dall’Autorità, è risultato che i dati oggetto della violazione consistevano in:
- Dati anagrafici e di contatto;
- Professione;
- Livello di studio;
- Estremi identificativi di un documento di riconoscimento e informazioni relativi a datore di lavoro;
- Salario;
- Importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban.
Alla luce di tali evidenze, il Garante ha adottato, in data 28 marzo 2019, il provvedimento n. 87 n. 9104006, con il quale ha dichiarato illecito il trattamento dei dati personali posto in essere da Unicredit, in qualità di titolare del trattamento, perché effettuato in violazione:
- Delle misure minime di sicurezza previste dagli artt. 33 e ss. del Codice e dal disciplinare tecnico di cui all’Allegato B) al Codice stesso. Con particolare riferimento alle misure minime di sicurezza, l’Autorità ha constatato l’utilizzo di un non idoneo sistema di autorizzazione dell’applicativo Speedy Arena e l’assenza del “limite di accesso” dei profili di autorizzazione ai soli dati necessari per effettuare le operazioni di trattamento
- Delle misure prescritte con il provvedimento 192 del 12 maggio 2011, recante “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”. In tal caso, l’Autorità ha verificato l’inadeguatezza e la non corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicativo Speedy Arena, alla mancata implementazione di alert per le operazioni svolte attraverso il citato applicativo e alla mancata esecuzione di attività di audit interni di controllo;
In sintesi, sfruttando alcune debolezze della sicurezza dell’applicativo, la Società ha subito l’intrusione di soggetti ignoti attraverso le credenziali assegnate al personale Penta: questi hanno avuto accesso ai dati personali presenti in pratiche di finanziamento che non rientravano nell’ambito del mandato di Penta, determinando in questo modo il data breach oggetto della comunicazione del 25 luglio 2017.
Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”
Le posizioni del Garante evidenziano la necessità, per aziende, società e Pubbliche Amministrazioni, di percorsi formativi:
- integrati, che coinvolgano le varie figure professionali;
- mirati ad assicurare la sicurezza del trattamento;
- aggiornati su tutte le principali questioni connesse al GDPR.
Per tali ragioni, Hedya propone il percorso formativo innovativo “Le Nuove Professioni Digitali”. Se il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 o semplicemente CAD) e la normativa collegata (Linee Guida AgID) ci presentano il Responsabile Transizione al Digitale e Responsabile della Conservazione Documentale, il Regolamento Europeo 2016/679 (GDPR) schiera in campo il Responsabile per la protezione dei dati personali e l’Amministratore di sistema. Si tratta di nuove figure professionali, la cui formazione deve necessariamente essere di natura trasversale, che convivono della nuova P.A. Digitale e che ne guidano il cambiamento.
Hedya propone inoltre un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.
In particolare, si prevede:
- Corsi di formazione per Data Protection Officer
- Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
- Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;
- Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati
- Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.
- Formazione e consulenza in materia di Digitalizzazione
Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.
Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALE” per il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.
Il percorso è rivolto:
- a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
- a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.
Ulteriori dettagli sui percorsi formativi sono disponibili qui.